FICHE PRATIQUE 6 :

RÉDIGER UN CHRONOGRAMME :
MODE D’EMPLOI Recommandation
EXEMPLE FIL ROUGE RANSOM20 Il est tout à fait normal lors de la rédaction du chronogramme de ne pas
s’adresser à tous les joueurs car certaines interactions auront lieu naturellement
La rédaction du chronogramme se base sur les interviews des experts, réalisée lors de la phase 1 entre eux. Par exemple, le directeur de la cellule de crise demandera à ses
de cette étape.
équipes de réaliser un point de situation à un horaire particulier ou encore le
Ce tableau se remplit de la droite vers la gauche en commençant par la réaction attendue qui RSSI demandera à ses équipes techniques de réaliser des analyses. Il n’est donc
correspond à un ou plusieurs des objectifs visés. Puis il convient de choisir le(s) joueur(s) destina- pas nécessaire de simuler ces interactions. Par ailleurs, les joueurs solliciteront
taire(s) de l’information. Vient ensuite l’émetteur, personne qui sera simulé par l’animateur pour la cellule d’animation avec des demandes ou questions auxquelles il faudra
transmettre l’information. C’est seulement ensuite qu’est rédigé l’événement qui va être transmis
répondre de la manière la plus réaliste possible, d’où l’importance d’avoir des
au joueur par l’animateur pour obtenir la réaction attendue. On s’intéressera enfin aux modalités
de tranmission de l’information et à l’horaire auquel celle-ci sera transmise. experts des sujets abordés en cellule d’animation.

Les éléments techniques proposés dans le chronogramme ci-après sont à compléter en fonction
de votre organisation interne.
Destinataire : il s’agit du ou des joueurs qui recevront le message.
Il faut être vigilant et ne pas envoyer tous les messages à la même
Émetteur : il s’agit des profils simulés derrière lesquels se trouve la cellule d’animation qui personne. L’intérêt est notamment de voir si l’information circule
enverra le message vers un ou plusieurs destinataire(s) (joueurs). L’équipe d’animation bien au sein de la ou des cellule(s) de crise. Une même personne ne
peut être amenée à simuler des personnes internes à l’organisation qui ne participent pas peut pas être à la fois émetteur et destinataire au cours d’un même
à l’exercice (ex : le manager d’un service) ou externes (ex : un journaliste). Il est possible exercice (les animateurs ne sont pas joueurs et inversement).
d’ajouter une colonne immédiatement après « émetteur », nommée « joué par », afin
de préciser quel animateur sera en charge de transmettre le stimulus.
Réactions attendues : pour chaque ligne
de chronogramme rédigée, il est nécessaire
Stimulus : il correspond à une information transmise à d’écrire la réaction attendue des joueurs
un ou plusieurs joueurs. Chaque ligne du chronogramme qui doit correspondre aux objectifs décrits
correspond à un stimulus. Il convient de rédiger le script précédemment. Cela permet également d’aider
de ceux-ci en amont du jour J. Ce sont les animateurs et l’équipe d’animation à anticiper l’adaptation du
les experts qui, en fonction de leur spécialité, écrivent scénario le jour de l’exercice, si la réaction est
les événements dans leur langage métier pour donner du trop différente de ce qui était prévu.
réalisme à l’exercice.

CONTENU STIMULI ÉMETTEUR DESTINATAIRE

MODALITÉ DE RÉACTIONS COMMENTAIRES À L’ATTENTION
N° HORAIRE PHASE (contenu du mail ou de l’appel téléphonique (non joueur - simulé par (= les joueurs
TRANSMISSION ATTENDUES DU PLANIFICATEUR
à adapter à votre organisation) la cellule d’animation) pour action)

Prise de connaissance
Ce stimulus peut aussi être envoyé la veille pour
AAMMJJ Dossier de mise Envoi du dossier de mise en situation (DMS) en pièce jointe d’un mail à destination des informations.
DMS DIRANIM Tous les joueurs Mail constituer une première mise en ambiance avant
08:30 en situation de l’ensemble des joueurs. Aucune action
le démarrage de l’exercice.
particulière attendue.

OPTION DE JEU SIMULANT L’ANSSI

OPTION DE JEU AVEC PLUSIEURS SITES TOUCHÉS ET PLUSIEURS CELLULES DE CRISE IMPLIQUÉES EN TANT QUE JOUEUR
OPTION DE JEU AVEC PLUSIEURS SITES TOUCHÉS ET UNE SEULE CELLULE DE CRISE IMPLIQUÉE EN TANT QUE JOUEUR
OPTION DE JEU PERMETTANT DE S’ENTRAÎNER SURLES PROBLÉMATIQUES D’EXFILTRATION DE DONNÉES
Modalité de transmission : c’est dans cette colonne que l’on décide par quel canal
l’information va être diffusée vers le ou les joueur(s). Il s’agit généralement de mails ou
d’appels téléphoniques ou d’outils tels qu’une plateforme simulant la pression médiatique.
Il est important d’utiliser les moyens de communication que les joueurs seraient amenés
à utiliser en crise réelle, tout en prenant en compte les conséquences de la cyberattaque
(ex: messagerie internet indisponible).

ORGANISER UN EXERCICE DE GESTION DE CRISE CYBER ANSSI - COLLECTION GESTION DE CRISE

 CONTENU STIMULI ÉMETTEUR DESTINATAIRE
MODALITÉ DE COMMENTAIRES À L’ATTENTION
N° HORAIRE PHASE (contenu du mail ou de l’appel téléphonique (non joueur - simulé par (= les joueurs RÉACTIONS ATTENDUES
TRANSMISSION DU PLANIFICATEUR
à adapter à votre organisation) la cellule d’animation) pour action)

AAMMJJ Début de « Bonjour, l’exercice commence maintenant. N’hésitez pas à nous contacter pour toute Aucune action
1 DIRANIM Tous les joueurs Mail
09:30 l’exercice question ou incompréhension. » particulière attendue.

Stimulus à multiplier (par intervalles de 5 à 10

minutes) autant que jugé utile (en fonction du
nombre d’activités concernées ou encore de la
« Bonjour,
pression souhaitée sur les joueurs).
Je vous appelle car les membres de mon équipe ne peuvent plus utiliser leur ordinateur. Manager d’une équipe
Premiers Directeur de la
AAMMJJ Tous affichent un même message demandant une rançon pour récupérer les données. de l’organisation Appel Signalement/échange
2 messages sur ligne métier/activité L’objectif de ces stimuli est de montrer
09:32 On a un projet très important à rendre en fin de semaine, il faut absolument qu’on puisse [service/département téléphonique avec le RSSI.
l’incident concernée que tous les services de l’organisation sont
travailler. Que devons-nous faire ? Par ailleurs, je crois que le problème s’étend au moins au choix]
progressivement touchés. Il est possible d’ajouter
à tout notre étage…  »
des conséquences métiers spécifiques à chaque
service dans le script des appels téléphoniques
et des mails.

« Bonjour, Il peut être intéressant de jouer la mobilisation

Je vous appelle car nous avons reçu depuis ce matin plusieurs appels de salariés qui ne de la cellule de crise. Cette dernière peut être
Premiers Transmission de l’alerte
AAMMJJ pouvaient plus utiliser leur ordinateur. D’après les photos reçues, les données seraient RSSI ou équivalent / Appel activée entre ce stimulus et le stimulus 12. Passé
3 messages sur Référent IT pertinent et déclenchement de la
09:35 chiffrées et pourraient être récupérées en cas de paiement d’une rançon. Êtes-vous au DSI si pertinent téléphonique ce dernier, le cellule d’animation devra insister
l’incident cellule de crise.
courant de cette situation ? Nous commençons à être saturés par le volume des appels pour qu’une cellule de crise se réunisse le plus
et n’avons aucune information à transmettre sur la situation… » rapidement possible.

Estimation des premiers

impacts, lancement
des investigations, En fonction du logiciel malveillant choisi lors de
préparation des la conception du scénario, il est possible d’utiliser
« Bonjour, premières mesures de des captures d’écran de rançongiciel trouvées
À la suite de notre échange téléphonique, vous trouverez ci-joint une photo de l’un des gestion de l’incident sur Internet.
Premiers
AAMMJJ postes. N’hésitez pas à me transmettre toute consigne qui me permettra de répondre RSSI ou équivalent / et définition consignes
4 messages sur Référent IT pertinent Mail
09:40 aux futurs appels des salariés. Je vous rappelle si d’autres services nous informent qu’ils DSI si pertinent à destination Pour obtenir plus d’informations sur les bonnes
l’incident
sont touchés. Nous sommes vraiment saturés par le volume d’appels et n’avons aucune des employés. pratiques à mettre en place dans le cadre d’une
information sur la situation. » Eventuellement, prise attaque par rançongiciel, consulter le guide
de contact avec un de l’ANSSI Attaques par rançongiciels, tous
prestataire ou avec concernés ?
l’ANSSI (simulés par la
cellule d’animation).

« Bonjour, Prise en compte

Manager d’une équipe
Premiers Je vous informe que les postes de travail de l’ensemble de mon équipe sont inutilisables de l’information et
AAMMJJ de l’organisation RSSI ou équivalent / Appel
5 messages sur et affichent tous le même message. Impossible de travailler. Est-ce qu’on a été piraté ? transmission des
09:45 [service/département DSI si pertinent téléphonique
l’incident Avez-vous la possibilité de résoudre ça assez rapidement car nous devons rendre notre premières consignes si
au choix]
dossier en fin de semaine ? On a essayé de redémarrer sans succès les PC. » définies.

« Bonjour, Manager d’une équipe Prise en compte

Premiers
AAMMJJ À la suite de notre appel, je confirme que les postes de travail de l’ensemble de mon de l’organisation RSSI ou équivalent / Appel de l’information et
6 messages sur
09:50 équipe sont inutilisables et affichent tous le même message. Je vous envoie par SMS une [service/département DSI si pertinent téléphonique tranmission à la cellule
l’incident
photo de l’un des postes. Que se passe-t-il ?  » au choix] de crise.

Transmission des
« Rebonjour,
premières consignes si
Au vu des appels reçus jusqu’ici, les services/départements X et Y sont touchés ainsi
Premiers définies, interrogations
AAMMJJ que l’équipe projet Z qui doit rendre ses conclusions en fin de semaine [indiquer une RSSI ou équivalent / Appel
7 messages sur Référent IT pertinent sur le périmètre de
09:55 échéance critique]. Pouvez-vous me transmettre des consignes afin que mon équipe DSI si pertinent téléphonique
l’incident l’attaque et début
puisse répondre aux interrogations des utilisateurs ? Nous nous sommes saturés et plus
des réflexions sur la
rien ne semble fonctionner. »
continuité d’activité.

« Bonjour,
L’ensemble des équipes du service X n’a plus accès aux données de ses ordinateurs suite Manager d’une équipe Transmission des
Directeur de la
AAMMJJ Latéralisation du à l’affichage d’un message demandant une rançon. Nous étions en train de finaliser le de l’organisation Appel informations au RSSI
8 ligne métier/activité
10:00 rançongiciel projet Y que nous devions absolument rendre ce jour. Comment faire pour continuer [service/département téléphonique et diffusion des
concernée
à travailler ? Que se passe-t-il ? Je vous envoie par SMS une photo d’un écran d’un des au choix] consignes si définies.
ordinateurs inutilisables. »

« Bonjour, Manager d’une équipe Transmission des

Directeur de la
AAMMJJ Latéralisation du L’ensemble des équipes du service X n’a plus accès aux données de ses ordinateurs suite de l’organisation Appel informations au RSSI
9 ligne métier/activité
10:05 rançongiciel à l’affichage d’un message demandant une rançon. Que se passe-t-il ? Quand pourrons- [service/département téléphonique et diffusion des
concernée
nous reprendre le travail ? » au choix] consignes si définies.

ORGANISER UN EXERCICE DE GESTION DE CRISE CYBER ANSSI - COLLECTION GESTION DE CRISE

 CONTENU STIMULI ÉMETTEUR DESTINATAIRE
MODALITÉ DE COMMENTAIRES À L’ATTENTION
N° HORAIRE PHASE (contenu du mail ou de l’appel téléphonique (non joueur - simulé par (= les joueurs RÉACTIONS ATTENDUES
TRANSMISSION DU PLANIFICATEUR
à adapter à votre organisation) la cellule d’animation) pour action)

Prise en compte
de l’information
« Je reçois de plus en plus d’appels de multiples services de l’organisation m’annonçant
et poursuite des
ne plus pouvoir travailler à cause d’un message affiché sur leur écran et demandant une
investigations. Si non
rançon. Notre service est désormais complètement saturé. Voici la liste des services
AAMMJJ Latéralisation du RSSI ou équivalent / Appel réalisé précédemment
10 m’ayant contacté : Référent IT pertinent
10:15 rançongiciel DSI si pertinent téléphonique et si jugé nécessaire,
- service/département 1
prise de contact avec un
- service/département 2
prestataire ou l’ANSSI
- … »
(simulé par la cellule
d’animation).

« Bonjour,
Débuter la réflexion
Publication d’une Je vous informe qu’une photo d’un des postes de travail de l’organisation semble avoir
Personne réalisant Responsable sur la stratégie de
AAMMJJ photo d’un des été postée sur les réseaux sociaux (soit il s’agit d’un de nos postes, soit d’une photo
11 une veille médiatique communication Mail communication et la
10:45 postes sur les extrêmement similaire). L’organisation n’est pas citée mais si le lien est fait, nous ne
(salarié ou prestataire) + RSSI définition d’éléments de
réseaux sociaux devrions pas tarder à recevoir des appels de la presse. Je reviendrai vers vous pour vous
langage.
informer des réactions observées sur les réseaux sociaux. »

Les planificateurs de l’exercice devront décider

en amont si l’organisation a toujours accès à sa
messagerie.
> Si oui, les échanges peuvent continuer comme
précédemment.
> Sinon, la cellule de crise devra mettre en place
d’autres outils pour communiquer.

Plus généralement, à partir de ce stimulus, il

Mise en œuvre de
convient de matérialiser la perte d’accès au
procédures dégradées,
réseau : les ordinateurs, les outils de la cellule de
activation du PCA
crise, les annuaires, la messagerie etc. ne seront
« Bonjour, Mail si ou de toute mesure
plus utilisables s’ils sont gérés sur le réseau. Les
Latéralisation Nous vous confirmons que l’ensemble du parc informatique est impacté par l’incident en accessible, contribuant à la gestion
Équipe de réponse à joueurs devront ainsi penser à des solutions de
AAMMJJ du rançongiciel cours depuis ce matin. L’analyse des captures réseau effectuées confirme la latéralisation RSSI ou équivalent / sinon appel de la crise.
12 incident/administrateur secours pour gérer la crise et maintenir certaines
11:00 et début des du code malveillant au sein du réseau interne, par un vecteur que nous sommes en train DSI si pertinent téléphonique ou
réseau activités critiques. Jouer ces conséquences,
investigations de chercher à identifier. Nous n’avons pas d’autre information et les investigations sont messagerie de Vérification de
pourtant vraisemblables, augmente toutefois
difficiles. » secours l’application des
le niveau de difficulté de l’exercice.
bonnes pratiques
en cas d’attaque par
Il est possible ici de multiplier les stimuli de ce type
rançongiciel.
en provenance de différentes équipes techniques
(administrateurs, équipes de sécurité, équipes
réseaux, etc.) afin d’insister sur le fait que la
situation est très grave et que l’organisation dispose
de très peu d’information sur ce qu’il se passe.

Passé ce stimulus, il convient de s’assurer que

les joueurs ont activé leur cellule de crise pour
permettre la bonne poursuite de l’exercice.

Mail si accessible, Prise en compte

« Bonjour,
Sollicitations Personne réalisant sinon appel de l’information,
AAMMJJ Voici quelques exemples de sollicitations que l’on trouve sur les réseaux sociaux : Responsable
13 internautes une veille médiatique téléphonique ou préparation
11:10 @organisation vous confirmez avoir été attaqué ? #cyberthreat communication
réseaux sociaux (salarié ou prestataire) messagerie de d’une stratégie de
Il semblerait que @organisation se soit fait pwnd. Des infos ? #insecure  »
secours communication.

Différents chefs de
« Bonjour, service s’adressent à Mail si
Pourriez-vous nous faire parvenir les informations dont vous disposez sur l’incident en leur directeur pour accessible,
Demande de Directeur de la ligne Préparer et transmettre
AAMMJJ cours, notamment ce qui concerne sa nature et son ampleur afin de permettre à nos savoir ce qu’ils vont sinon appel Stimulus à décliner autant de fois que souhaité
14 visibilité des métier / activité des consignes adaptées
11:15 services de continuer malgré la situation, en mode dégradé si nécessaire. Par ailleurs, dire à leurs équipes et téléphonique ou pour accentuer la pression sur les joueurs.
métiers concernée à la situation.
on nous dit que tout est sauvegardé, j’espère que c’est vraiment le cas car nous avons s’ils doivent déclencher messagerie de
absolument besoin de nos dossiers ! » des procédures secours
dégradées

Transmettre les
éléments de langage
préalablement définis (si
« Bonjour, ceux-ci ne sont pas prêts,
AAMMJJ Pression Des informations circulant sur les réseaux sociaux semblent indiquer que votre organisation Responsable Appel proposer de rappeler
15 Journaliste
11:30 médiatique est la cible d’une attaque informatique. Pouvez-vous confirmer ? Dans quelle mesure communication téléphonique plus tard le journaliste).
votre organisation est-elle impactée ? Pouvez-vous continuer vos activités ? » Il est également possible
de ne pas commenter et
de publier plus tard un
communiqué de presse.

ORGANISER UN EXERCICE DE GESTION DE CRISE CYBER ANSSI - COLLECTION GESTION DE CRISE

 CONTENU STIMULI ÉMETTEUR DESTINATAIRE
MODALITÉ DE COMMENTAIRES À L’ATTENTION
N° HORAIRE PHASE (contenu du mail ou de l’appel téléphonique (non joueur - simulé par (= les joueurs RÉACTIONS ATTENDUES
TRANSMISSION DU PLANIFICATEUR
à adapter à votre organisation) la cellule d’animation) pour action)

La capture d’écran peut être créée en se basant sur

« Bonjour,
Revendication Mail si des images de rançongiciels trouvées sur Internet.
Vous trouverez ci-dessous une copie du message de revendication de l’attaque publié Prise en compte
de l’attaque accessible, Si cette option est retenue, la publication des
sur un forum Internet : Personne réalisant Responsable de l’information
AAMMJJ et menace de sinon appel attaquants peut être repérée par des internautes
16 « All of [organisation]’s data are belong to us !!! We will the data give back, when You to une veille médiatique communication + et investigation sur
12:00 publication téléphonique ou qui interpellent ensuite l’organisation sur les
us XXXX BTC before 24H give. After 24H will we the data on the Internet for all to see (salarié ou prestataire) RSSI une possible exfiltration
des données messagerie de réseaux sociaux. De fausses preuves pourront
publish !!! An extract for proof is gonna be publish very soon ! » de données.
exfiltrées secours être insérées plus tard dans le jeu pour faire réagir
[optionnel] En PJ, une capture d’écran du message. »
les joueurs si ce n’est pas le cas ici.

Mail si
« Bonjour, Haute hiérarchie non Elaboration de la
accessible,
Nous avons vu dans la presse que votre organisation avait subit une cyberattaque. Vos joueuse (exemple : stratégie de remédiation
AAMMJJ Stratégie de sinon appel
17 activités sont-elles complètement à l’arrêt ? Quand pensez-vous pouvoir les reprendre ? autorité de tutelle, Directeur de crise et préparation de la
12:30 remédiation téléphonique ou
Pouvez-vous nous faire parvenir un point sur la situation le plus rapidement possible et autorité de contrôle, présentation à la haute
messagerie de
nous faire part de votre stratégie pour remédier à cet événement ? » actionnaires…) hiérarchie.
secours

« Bonjour, Mail si
Je suis contacté par plusieurs clients / usagers qui ont constaté que notre site Internet accessible, Diffusion d’éléments
AAMMJJ Sollicitations était inaccessible. Ils ne peuvent donc plus accéder à nos services [préciser lesquels ici]. Ils Responsable relation Directeur du sinon appel de langage visant à
18
12:45 clients/usagers disent également avoir vu dans la presse que nous avions subi une cyberattaque et nous client/usager service téléphonique ou rassurer sur le traitement
demandent si cela est à l’origine de l’indisponsibilité du service. Ils s’interrogent enfin messagerie de de l’incident.
sur la reprise de ce dernier. Quelles informations est-il possible de leur transmettre ? » secours

[Option « Bonjour,
« Simulation Nous revenons vers vous suite à votre signalemet d’incident au CERT-FR. Quels sont les
ANSSI » #1] impacts sur vos activités ? Disposez-vous d’un prestataire pour vous aider ? Avez-vous
besoin d’une assistance de l’ANSSI ? Pour simuler l’ANSSI, vous pouvez vous inspirer
RSSI (ou personne Transmission des éléments publiés sur le site du CERT-FR.
Si l’organisation
AAMMJJ généralement Appel des informations Si vous êtes un bénéficiaire régulé (LPM, NIS),
19 fait partie [si souhait d’accompagnement ANSSI] ANSSI
13:00 chargée de notifier téléphonique disponibles vous pouvez notamment simuler la déclaration
du périmètre Un agent de l’ANSSI va vous contacter très prochainement pour vous aider à qualifier
les incidents) à l’ANSSI. de votre incident via le formulaire qui se trouve
d’intervention l’incident puis éventuellement vous accompagner à distance dans les démarches
de l’ANSSI et que d’investigation et de remédiation. Voici dans un premier temps quelques documents sur le site de l’ANSSI. Pour les petites structures,
l’un des joueurs a de bonnes pratiques sur les mesures à mettre en place face à un rançongiciel (voir site simulez plutôt cybermalveillance.gouv.fr. Il est
déclaré l’incident Internet de l’ANSSI pour obtenir des éléments). » aussi possible de simuler l’intervention d’un
prestataire.
«Bonjour,
Les stimuli 19 et 19ter ne sont à n’utiliser que
Nous avons identifié sur les réseaux sociaux une publication qui pourrait indiquer qu’un
[Option lorsqu’une déclaration d’incident a été simulée
incident de sécurité affecte vos systèmes d’information. Pouvez-vous nous confirmer
« Simulation par les joueurs auprès de la cellule d’animation.
cette information ? Avez-vous besoin d’une assistance de l’ANSSI ? Je vous recommande
ANSSI » #2] Leur horaire est à modifier en fonction du
de consulter la rubrique « que faire en cas d’incident » sur notre site afin de mettre en
Transmission moment auquel les joueurs font leur signalement.
place les premières mesures.
19 AAMMJJ Si l’organisation RSSI ou équivalent / Appel des informations (La prise de contact a lieu environ une heure
ANSSI
bis 13:00 fait partie du DSI si pertinent téléphonique disponibles après le signalement.)
[si souhait d’accompagnement ANSSI]
périmètre de à l’ANSSI.
Si vous souhaitez être accompagné par l’ANSSI, un agent va vous contacter très
l’ANSSI mais Pour aider les joueurs, il est possible d’ajouter
prochainement pour vous aider à qualifier l’incident puis éventuellement vous accompagner
n’a pas déclaré un contact ANSSI ou prestataire dans l’annuaire
à distance dans les démarches d’investigation et de remédiation. Voici dans un premier
l’incident qui renvoie à la cellule d’animation.
temps quelques documents de bonnes pratiques sur les mesures à mettre en place face
à un rançongiciel (voir le site Internet de l’ANSSI pour obtenir des éléments). »
Dans ce stimulus, l’agence ou le prestataire
tente d’obtenir un maximum d’information pour
Simulation d’un « Bonjour, comprendre au mieux la situation et émettre des
RSSI (ou personne Transmission
prestataire, Nous revenons vers vous suite à votre signalemet d’incident auprès de nos équipes. Quels recommandations.»
19 AAMMJJ généralement Appel des informations
si l’organisation sont les impacts sur vos activités ? Prestataire
ter 13:00 chargée de notifier téléphonique disponibles
leur a déclaré Une personne de notre équipe va vous contacter très prochainement pour vous
les incidents) au prestataire.
l’incident accompagner à distance dans les démarches d’investigation et de remédiation. »

Il peut s’agir ici de n’importe quel second site

(situé en France ou l’étranger) : filiale, site de
production, second bâtiment.
[Option
« Jeu sur
Pour simuler l’impact progressif et la montée en
plusieurs sites
« Bonjour, Transmission de l’alerte, puissance de la crise, ce stimulus est à multiplier
avec plusieurs
Je vous appelle car les membres de mon équipe ne peuvent plus utiliser leurs machines. Manager d’une équipe RSSI / DSI déclenchement de (par intervalles de 5 minutes) en fonction du
cellules de crise
AAMMJJ Les écrans affichent un message demandant une rançon pour récupérer les données. d’un second site si pertinent Appel la cellule de crise du nombre de services / activités du second site que
20 impliquées
13:10 On a une commande/un projet très important(e) à rendre en fin de semaine, il faut [service/département ou équivalent téléphonique second site et partage vous souhaitez immobiliser suite à la latéralisation
en tant que
absolument qu’on puisse travailler. Que devons-nous faire ? Par ailleurs, je crois que le au choix] du second site de l’information avec du rançongiciel.
joueurs »]
problème s’étend au moins à tout notre étage… Que se passe-t-il ? » l’organisation.
Comme pour la latéralisation au sein de
Latéralisation du
l’organisation, il est possible d’ajouter des
rançongiciel
conséquences métiers spécifiques à chaque
service dans le script des appels téléphoniques
et des mails.

ORGANISER UN EXERCICE DE GESTION DE CRISE CYBER ANSSI - COLLECTION GESTION DE CRISE

 CONTENU STIMULI ÉMETTEUR DESTINATAIRE
MODALITÉ DE COMMENTAIRES À L’ATTENTION
N° HORAIRE PHASE (contenu du mail ou de l’appel téléphonique (non joueur - simulé par (= les joueurs RÉACTIONS ATTENDUES
TRANSMISSION DU PLANIFICATEUR
à adapter à votre organisation) la cellule d’animation) pour action)

Responsable sûreté / Il peut s’agir ici de n’importe quel second site

[Option « Jeu sur sécurité, directeur (situé en France ou l’étranger) : filiale, site de
plusieurs sites commercial, production, second bâtiment, etc.
« Bonjour,
avec une seule ou encore toute
L’ensemble des postes de travail du site sont HS. Ils affichent tous le même écran qui Responsable du second Transmission de
cellule de crise personne joueuse au Pour poursuivre la simulation avec une seule cellule
AAMMJJ nous demande de verser une rançon. Impossible de continuer à travailler, tout le site est site Appel l’information en cellule
21 impliquée en tant sein de la cellule de de crise, reprendre les stimuli avec deux cellules
13:10 à l’arrêt ! Les commandes/services/projets ne pourront pas être prêt(e)s à temps, c’est (filiale / prestataire / téléphonique de crise et diffusion des
que joueur »] crise de l’organisation de crise (stimuli rose) et remplacer l’émetteur
la catastrophe. Pouvez-vous envoyer une équipe pour y remédier ? Est-ce que le reste fournisseur / client) premières consignes.
jugée pertinente par le responsable du site et le destinataire par
de l’organisation a le même problème ? Nous n’avons aucune idée de ce qu’il se passe.»
Latéralisation du et qui serait le point toute personne joueuse au sein de la cellule de
rançongiciel de contact du crise de l’organisation jugée pertinente et qui
second site serait le point de contact du second site.

« Bonjour,
Nous avons bien pris en compte votre signalement, enregistré sous la référence
[RM#XXXXXX]. Dans le cadre de notre procédure de traitement d’incident, nous
souhaiterions obtenir davantage d’informations. Vous trouverez ci-après les éléments
demandés ainsi que des premières recommandations.

 Nom et Prénom / Courriel / Numéro de téléphone du RSSI et/ou de la personne en

charge de cet incident
 Quelles sont les machines concernées par l’infection ? Quels types de fichiers ont été
chiffrés ? Le SI compromis est-il en lien avec d’autres SI ?
 Quel est l’impact de cet incident sur la poursuite de vos activités ?
 Date et heure de l’infection
 Connaissez-vous le le vecteur de la compromission (courriel malveillant, exploitation
de vulnérabilité, compromission de SI, etc.) ?
 Connaissez-vous le rançongiciel ? Sa version ?
 Quelle est l’extension des fichiers chiffrés ?
  Avez-vous des empreintes numériques (MD5, SHA1, SHA256 ...), une souche du rançongiciel
ou des captures d’écran à nous transmettre ?
  Pouvez-vous nous communiquer la demande de rançon, les adresses courriel impliquées,
les portefeuilles de Bitcoin ?
 Avez-vous des sauvegardes saines qui permettraient de restaurer le ou les systèmes
infectés ?
 Avez-vous engagé un prestataire pour vous aider à remédier à cette attaque ? Si oui,
lequel ?
 Quelles ont été les mesures réactives prises à la suite de cet incident ?
 Dans le cas où des données à caractère personnel aient été impactées, avez-vous
déclaré l’incident à la CNIL ?
[Option  Avez-vous pensé à faire X déclaration (par exemple, une déclaration à l’AFP en cas de
Il est possible de simuler à la place de ce stimulus
« Simulation un appel d’un pretataire, si contacté par les
cotation en bourse) ? Transmission
ANSSI »] joueurs (via la cellule d’animation), qui posera
AAMMJJ  Envisagez-vous ou avez-vous déjà effectué un dépôt de plainte ? RSSI ou équivalent / Appel des informations
22 ANSSI des questions similaires.
13:30   Il est très peu probable que les données puissent être déchiffrées. Toutefois, sollicitez- DSI si pertinent téléphonique disponibles
Demande
vous une assistance de l’ANSSI dans vos actions de remédiation ? Si oui, pour quel(s) à l’ANSSI.
d’informations L’horaire du stimulus sur le point d’étape est à
champs d’intervention ?
complémentaires adapter en fonction de la réponse des joueurs.
Notez qu’à ce stade, le niveau d’engagement de l’ANSSI ne peut être défini.

Vous pourrez également trouver de premières mesures de remédiation en cas d’infection

par un rançongiciel en suivant ces liens :
 h ttps://www.ssi.gouv.fr/guide/attaques-par-rancongiciels-tous-concernes-comment-
les-anticiper-et-reagir-en-cas-dincident/
 https://www.cert.ssi.gouv.fr/information/CERTFR-2017-INF-001
 https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-
ransomwares

Ensuite, et dans l’optique d’une démarche pénale (recommandée), nous vous rappelons que
vous êtes invité à conserver sans y apporter de modification, tout document ou information
établissant les faits et qui constitueraient potentiellement des éléments de preuve :
 copies physiques des disques durs (ou VM) des postes compromis ;
  copies des journaux d’événements disponibles sur tout équipement réseau qui auraient
pu permettre la transmission des codes malveillants.

Enfin, selon le type et la version du rançongiciel, il est possible qu’il existe un outil ou des
clés de déchiffrement dédiés. Un référentiel de ces solutions est disponible sur le site
Internet No More Ransom (https://www.nomoreransom.org/fr/index.html). Nous vous
invitons à consulter les conseils préalables et guides d’utilisation avant toute opération
de déchiffrement.

Une personne en charge de la communication à l’ANSSI va prendre contact avec vos

communicants. Pouvez-vous me transmettre leurs coordonnées ? Je vous propose de
planifier rapidement un point d’étape. »

ORGANISER UN EXERCICE DE GESTION DE CRISE CYBER ANSSI - COLLECTION GESTION DE CRISE

 CONTENU STIMULI ÉMETTEUR DESTINATAIRE
MODALITÉ DE COMMENTAIRES À L’ATTENTION
N° HORAIRE PHASE (contenu du mail ou de l’appel téléphonique (non joueur - simulé par (= les joueurs RÉACTIONS ATTENDUES
TRANSMISSION DU PLANIFICATEUR
à adapter à votre organisation) la cellule d’animation) pour action)

Mail si accessible,
« Bonjour, Prise en compte
Sollicitations Personne réalisant sinon appel
AAMMJJ Voici quelques exemples de sollicitations que l’on trouve sur les réseaux sociaux : Responsable de l’information
23 internautes une veille médiatique téléphonique
13:40 @organisation vous confirmez avoir été hacké ? #cyberthreat communication dans la stratégie de
réseaux sociaux (salarié ou prestataire) ou messagerie
@organisation vous comptez payer la rançon ? #prisedotage #ransomware communication.
de secours

Comme pour le site principal de l’organisation,

les planificateurs de l’exercice devront décider
[Option
en amont si le second site a toujours accès à
« Jeu sur
Si non réalisé sa messagerie. Si oui, les échanges peuvent
plusieurs sites « Bonjour,
Mail si précédemment, continuer comme précédemment. Sinon, la
avec plusieurs L’ensemble des postes de travail du site sont HS, ils affichent tous le même écran qui nous
RSSI / DSI accessible, transmission de l’alerte, cellule de crise du second site devra mettre
cellules de crise demande de verser une rançon. Impossible de continuer à travailler, le site est à l’arrêt !
AAMMJJ Équipe technique si pertinent sinon appel déclenchement de en place d’autres outils pour communiquer. Il
24 impliquées Les commandes/services ne pourront pas être prêts à temps, c’est la catastrophe. Pouvez-
13:50 second site second site téléphonique la cellule de crise du convient également de matérialiser la perte
en tant que vous envoyer une équipe pour y remédier ? Est-ce que le siège a le même problème ?
ou équivalent ou messagerie second site et partage d’accès au réseau : les ordinateurs, les outils de
joueurs »] Nous n’avons pas plus d’information en l’état, nous sommes complètement dans le flou
de secours de l’information avec la cellule de crise, les annuaires, la messagerie
sur l’origine du problème. »
l’organisation. etc. ne seront plus utilisables s’ils sont gérés
Latéralisation du
sur le réseau. Les joueurs devront ainsi penser
rançongiciel
à des solutions de secours pour gérer la crise et
maintenir certaines activités critiques.

« Bonjour,
Je travaille au sein de la division de la communication de l’ANSSI et je prends contact avec
vous suite aux échanges que vous avez avec l’agence sur votre incident. On se propose
de vous accompagner pour anticiper et/ou préparer vos éléments de communication
externe et interne en cas de visibilité de l’attaque.
[Option Elaboration
Des premiers éléments de communication interne ou externe ont-ils déjà été transmis ?
« Simulation de la stratégie de
Avez-vous été sollicité par les médias ? Pour construire votre stratégie de communication, La posture générale de l’ANSSI est d’accompagner
AAMMJJ ANSSI »] Responsable Appel communication
25 plusieurs actions à mener dans un premier temps : définition des parties prenantes ANSSI COM l’organisation mais pas de communiquer à sa
14:00 communication téléphonique et transmission
(interne, clients, autorités, etc.), des cibles et objectifs de votre communication ainsi place.
Prise de contact des informations au
que des éventuels points de vigilance spécifiques à votre entité (notoriété/image de
de la COM second site.
marque, exposition médiatique), votre secteur d’activité (actualités du marché, etc.),
votre calendrier (obligation de communication financière, rachat, etc.), etc. Nous
pouvons vous accompagner dans la rédaction de vos éléments de communication
(communiqué de presse, communication interne). Si vous souhaitez mentionner l’ANSSI,
nous demanderons à valider la mention. »

[Option « Jeu sur

plusieurs sites
avec plusieurs « Bonjour,
cellules de crise À la suite de l’incident en cours depuis ce matin, voici un point de situation des impacts Mail si
impliquées recensés : Manager d’une équipe Chef cellule de accessible, Impacts à définir en fonction des spécificités de
Réflexion
AAMMJJ en tant que Exemples : du second site crise second site ou sinon appel votre organisation et de votre second site et à
26 sur la continuité
14:20 joueurs »] - impossible de prendre les commandes (ou de les suivre) ; [service/département représentant métier téléphonique ou décliner en autant de stimuli qu’il y a d’impacts
d’activité.
- impossible de marquer des produits et donc de les émettre ; au choix] en cellule de crise messagerie de souhaités.
Éléments sur - activités en mode dégradé/à l’arrêt ; secours
la suspension - etc. »
des activités du
second site

Transmission des
« Bonjour,
éléments de langage
Nous avons appris que votre organisation venait d’être la cible d’une cyberattaque et que
AAMMJJ Sollicitation Journaliste Responsable Appel préalablement définis
27 les attaquants ont publié un ultimatum : payer la rançon ou voir vos données publiées en
14:35 presse (presse spécialisée) communication téléphonique ou renvoi vers un
ligne. Confirmez-vous ces informations ? Cette attaque a t-elle un impact conséquent
communiqué
sur votre organisation ? Qui en est à l’origine selon vous ? »
de presse si publié.

Mail si Transmission des

Responsable
« Bonjour, accessible, éléments de langage
Personne réalisant communication
AAMMJJ Sollicitation Pour information, nous venons d’identifier la parution d’un article dans la presse relatif sinon appel préalablement définis Ces sollicitations de la presse peuvent également
28 une veille médiatique + RSSI ou
15:00 presse à l’incident en cours. L’article met particulièrement en cause nos capacités à répondre téléphonique ou ou renvoi vers un être adressées au second site.
(salarié ou prestataire) équivalent / DSI
à l’incident et à y remédier. » messagerie de communiqué de presse
si pertinent
secours si publié.

[Option « Jeu sur

plusieurs sites avec Utiliser (si transmis)
plusieurs cellules de «B onjour, les EDL du siège ou les
Équipe
AAMMJJ crise impliquées en Nous avons appris que votre site venait d’être victime d’une cyberattaque. Confirmez-vous Appel demander avant de
29 Journaliste communication du
15:15 tant que joueurs »] cette information ? Cette attaque est-elle liée à celle ayant touché le siège ce matin ? téléphonique répondre. Renvoyer à un
second site
Etes-vous en mesure de poursuivre votre activité ? » communiqué de presse
Sollicitation commun si existant.
presse

ORGANISER UN EXERCICE DE GESTION DE CRISE CYBER ANSSI - COLLECTION GESTION DE CRISE

 CONTENU STIMULI ÉMETTEUR DESTINATAIRE
MODALITÉ DE COMMENTAIRES À L’ATTENTION
N° HORAIRE PHASE (contenu du mail ou de l’appel téléphonique (non joueur - simulé par (= les joueurs RÉACTIONS ATTENDUES
TRANSMISSION DU PLANIFICATEUR
à adapter à votre organisation) la cellule d’animation) pour action)

Si l’organisation prend cette décision plus tôt,

cela doit être pris en compte par la cellule
d’animation (envoyer ce stimulus plus tôt). Plus
Mail si
« Bonjour, Prise en compte dans généralement, toute mesure préventive prise,
accessible,
Je vous informe que dans l’objectif de stopper la propagation du code malveillant, les Membre équipe le point de situation telle que des coupures réseau, doit être ensuite
AAMMJJ Point d’étape RSSI ou équivalent / sinon appel
30 interconnexions des systèmes d’information des autres sites de l’organisation avec les technique ou et transmission de intégrée au scénario au bon moment afin que les
15:20 sur l’attaque DSI si pertinent téléphonique ou
systèmes du siège ont été coupées. A notre connaissance, seuls le site principal et un prestataire l’information à la cellule joueurs pensent à avertir les parties prenantes
messagerie de
second site ont été impactés par l’attaque. » de crise. pour lesquelles ils jugent nécessaire de le faire et
secours
puissent anticiper les actions de communication
liées. Les effets de cette décision doivent être
intégrés au scénario.

« Bonjour, Transmission des

Votre organisation semble être la cible d’une attaque informatique sophistiquée. Les éléments de langage
AAMMJJ Sollicitation attaquants vous demandent de verser une rançon dans les 24h. Comptez-vous payer la Responsable Appel préalablement définis
31 Journaliste
15:30 presse rançon ? Commet votre organisation a-t-elle été impactée ? Depuis combien de temps communication téléphonique ou renvoi vers un
cette situation est-elle en cours ? » communiqué de presse
si publié.

Dans le cadre de l’exercice, il n’est pas utile de

Mail si distribuer aux joueurs l’intégralité des documents
« Bonjour, RSSI ou équivalent /
[Option accessible, qui seraient publiés. Il est toutefois intéressant
Je viens de trouver une publication sur le site pastebin qui comprend un grand nombre Personne réalisant DSI si pertinent Préparation d’une
AAMMJJ « Publication sinon appel d’avoir sous la main quelques documents à
32 de documents provenant potentiellement de notre organisation (https://pastebin.com/ une veille médiatique + Responsable stratégie de
15:35 des données téléphonique ou envoyer comme illustrations (et qui peuvent
xxxx). À première vue ces documents ont l’air authentiques mais je n’ai pas tout regardé. (salarié ou prestataire) communication + communication.
exfiltrées »] messagerie de par exemple être mentionnés par la presse). Il
Avec certains collègues nous sommes en train de les relire et de vérifier cela. » Responsable sûreté
secours revient aux planificateurs d’en déterminer le
nombre et la sensibilité.

« Bonjour,
Stimulus à multiplier autant que souhaité
Pression interne Les postes de travail du service sont toujours inutilisables. Pouvez-vous m’indiquer quand
AAMMJJ RSSI ou équivalent / Appel Diffusion pour accentuer la pression sur les joueurs. Les
33 (siège de cette situation sera résolue ? Mes agents ne peuvent plus travailler et les commandes Manager
15:40 DSI si pertinent téléphonique des consignes. demandes peuvent également s’adresser aux
l’organisation) prennent du retard, la situation devient intenable et nous manquons toujours d’information
directeurs métiers présents en cellule de crise.
sur la situation. »

Pour permettre aux joueurs d’expérimenter

« Bonjour,
plusieurs phases de la crise, le jeu est
Voici quelques éléments issus de notre analyse. Nous avons pu identifier le code malveillant
volontairement accéléré et n’est pas représentatif
à l’origine de l’attaque, il s’agirait du rançongiciel EvilRansomware, Nous n’avons cependant
Préparation d’une de ce qu’il se serait passé dans un cas réel. En
Analyses pas encore identifié le vecteur d’infection intiale. Ce code malveillant chiffre les fichiers Mail si
stratégie de remédiation, effet, à titre d’illustration, il n’est pas rare que
techniques via présents sur la machine ainsi que sur les partages réseau accessibles. Il supprime également accessible,
mise à jour du point de le SI soit complètement indisponible durant 1
AAMMJJ [option les copies cachées. ANSSI RSSI ou équivalent / sinon appel
34 situation. Réflexion sur à 2 semaines face à ce type d’attaque. De plus,
15:45 « Simulation Votre SI ne retrouvera pas un fonctionnement normal pendant une semaine au moins. ou prestataire DSI si pertinent téléphonique ou
la continuité d’activité le retour à un fonctionnement nominal du SI
ANSSI »] ou un Il faudra prévoir de travailler quasiment sans informatique et donc en mode dégradé messagerie de
et le fonctionnement en s’avère souvent long, jusqu’à prendre parfois
prestataire durant cette période. secours
mode dégradé. plusieurs mois.
Quelles sont les priorités de rétablissement des services ? Avez-vous prévu des mesures
pour gérer cette situation dans la durée (déploiement du PCA, roulements des équipes/
Ce stimulus peut également être émis par un
travail de nuit/ravitaillement, recours à un ou plusieurs prestataire(s), etc.) ? »
prestataire.

[Option
« Publication
Mail si
des données « Bonjour,
Chef de service accessible,
exfiltrées »] Les quelques personnes qui ont commencé à lire les documents confirment leur authenticité. Adaptation de
AAMMJJ [au choix, service Directeur sinon appel Cet inject peut également être adapté au second
35 Nous avons par exemple retrouvé une liste nominative qui correspond bien au personnel la stratégie de
15:50 impacté par les de crise téléphonique ou site avec des documents différents.
Analyses de l’organisation, un compte-rendu de réunion et un rapport (voir PJ). Nous poursuivons communication.
divulgations simulées] messagerie de
des données la lecture des documents et reviendrons vers vous dès que possible. »
secours
publiées par les
attaquants

[Option « Jeu sur

plusieurs sites
Prise en compte
avec plusieurs Mail si
« Bonjour, des messages dans
cellules de crise Personne réalisant accessible,
Voici quelques exemples de sollicitations que l’on trouve sur les réseaux sociaux : Resposable la stratégie de
AAMMJJ impliquées une veille médiatique sinon appel
36 @secondsite vous confirmez avoir été hacké ? #ransomware #cyberthreat communication du communication
15:55 en tant que (salarié ou prestataire) téléphonique ou
Il semblerait que@secondsite se soit fait pwnd. Des infos ? #insecure #ransomware second site et échange avec
joueurs »] au sein du second site messagerie de
@organisation @secondsite vous comptez payer la rançon ? #prisedotage #ransomware » l’organisation
secours
pour les EDL.
Sollicitations
réseaux sociaux

ORGANISER UN EXERCICE DE GESTION DE CRISE CYBER ANSSI - COLLECTION GESTION DE CRISE

 CONTENU STIMULI ÉMETTEUR DESTINATAIRE
MODALITÉ DE COMMENTAIRES À L’ATTENTION
N° HORAIRE PHASE (contenu du mail ou de l’appel téléphonique (non joueur - simulé par (= les joueurs RÉACTIONS ATTENDUES
TRANSMISSION DU PLANIFICATEUR
à adapter à votre organisation) la cellule d’animation) pour action)

[Option « Jeu sur

plusieurs sites
avec plusieurs « Bonjour, Mail si
Diffusion d’éléments
cellules de crise Je suis contacté par plusieurs clients / usagers qui ont constaté que notre site Internet accessible,
Responsable Directeur de langage
AAMMJJ impliquées était inaccessible. Ils ne peuvent donc plus accéder à nos services [préciser lesquels ici]. sinon appel
37 relation client / usager du service du visant à rassurer
16:00 en tant que Ils disent également avoir vu dans la presse que nous avions subit une cyberattaque et téléphonique ou
du second site second site sur le traitement
joueurs »] nous demandent si cela est à l’origine de l’indisponsibilité du service. Ils s’interrogent enfin messagerie de
de l’incident.
sur la reprise de ce dernier. Quelles informations est-il possible de leur transmettre ? » secours
Sollicitations
clients / usagers

Pour permettre aux joueurs d’expérimenter

plusieurs phases de la crise, le jeu est
[Option « Bonjour,
volontairement accéléré et n’est pas représentatif
« Simulation Nous avons identifié le mail d’hameçonnage ayant permis l’intrusion initiale dans le SI.
de ce qu’il se serait passé dans un cas réel. En
ANSSI »] Nos analyses se poursuivent afin d’identifier le mode de latéralisation. Le poste à l’origine
ANSSI Mail si effet, à titre d’illustration, il n’est pas rare que
de la compromission appartient à un membre du COMEX. Transmission
ou accessible, le SI soit complètement indisponible durant 1
Infos sur le vecteur Nous avons retrouvé la pièce-jointe malveillante à l’origine de l’attaque. Il semble bien RSSI des informations au
AAMMJJ Membre équipe sinon appel à 2 semaines face à ce type d’attaque. De plus,
38 d’infection via un s’agir du rançongiciel EvilRansomware. À notre connaissance, il n’existe pas de clé de ou équivalent / second site
16:05 technique téléphonique ou le retour à un fonctionnement nominal du SI
membre simulée déchiffrement. DSI si pertinent et partage des éléments
ou messagerie de s’avère souvent long, jusqu’à prendre parfois
de l’équipe Nous pouvons toutefois utiliser les sauvegardes qui ne sont pas très récentes. Certaines techniques.
Prestataire secours plusieurs mois.
technique de données seront irrémédiablement perdues. De ce fait, certaines activités ne pourront
l’organisation ou pas reprendre immédiatement. Le retour à un fonctionnement normal du SI sera long,
Ce stimulus peut également être émis par un
un prestataire il faut s’y préparer.  »
prestataire ou un membre simulé de l’équipe
technique de l’organisation.

[Option
Mail si
« Publication
« Bonjour, Chef de service accessible, Communication
des données Ces inquiétudes peuvent concerner différents
AAMMJJ J’ai appris que des données de chez nous avaient été publiées. Savez-vous où trouver [au choix, service RSSI ou équivalent / sinon appel sur les travaux de
39 exfiltrées »] services qui peuvent être simulés sous ce même
16:07 ces documents et si ceux de mon service en font partie ? Nous traitons des données très impacté par les DSI si pertinent téléphonique ou vérification
format.
sensibles qui ne devraient pas être connues à l’extérieur.  » divulgations simulées] messagerie de des données.
Interrogations
secours
internes

Mail si
« Bonjour, Équipes accessible, Préparation
Personne réalisant
AAMMJJ Sollicitation Pour information, des éléments sur l’attaque circulent sur les réseaux sociaux. Des communication, sinon appel des éléments
40 une veille médiatique
16:15 réseaux sociaux utilisateurs partagent l’article et s’interrogent sur les capacités de l’organisation à faire RSSI ou équivalent / téléphonique ou de langage
(salarié ou prestataire)
face à l’attaque. Ils interpellent également directement nos dirigeants sur Twitter.  » DSI si pertinent messagerie de en réactif.
secours

[Option
Responsable Mail si
« Publication « Bonjour,
communication accessible,
des données Pour information, un article de presse vient d’être publié et mentionne la publication de Personne réalisant Adaptation de
AAMMJJ + responsable sinon appel
41 exfiltrées»] données de l’organisation. Les journalistes mentionnent seulement quelques titres de une veille médiatique la stratégie de
16:20 sûreté + RSSI ou téléphonique ou
documents et ne semblent pas les avoir analysés. Il semble s’agir de rapports et de notes. (salarié ou prestataire) communication.
équivalent / DSI si messagerie de
Sollicitation [optionnel : rédiger l’article de presse à joindre au message].  »
pertinent secours
presse

[Option « Jeu sur

plusieurs sites avec
plusieurs cellules
Responsable
de crise impliquées Mail si
« Bonjour, communication
en tant que Personne réalisant accessible,
Pour information, un article de presse vient d’être publié et mentionne la publication de + responsable Adaptation de
AAMMJJ joueurs »] une veille médiatique sinon appel
42 données de l’organisation. Les journalistes mentionnent seulement quelques titres de sûreté + RSSI ou la stratégie de
16:25 (salarié ou prestataire) téléphonique ou
documents et ne semblent pas les avoir analysés. Il semble s’agir de rapports et de notes. équivalent / DSI communication.
Publication des au sein du second site messagerie de
[optionnel : rédiger l’article de presse à joindre au message].  » si pertinent du
données exfiltrées secours
second site
par les attaquants
sur un site
Internet

[Option
Mail si Transmission des
« Publication
« Bonjour, accessible, consignes définies par
des données
AAMMJJ À la suite de la divulgation sur Internet de données de notre organisation, mes agents RSSI ou équivalent / sinon appel la cellule de crise et
43 exfiltrées »] Manager
16:30 s’inquiètent de la possibilité que leurs données personnelles aient pu aussi être publiées. DSI si pertinent téléphonique ou prise en compte de
Pouvez-vous m’indiquer ce qui va être mis en place pour adresser ces inquiétudes ? » messagerie de la remarque pour la
Interrogations
secours communication interne.
internes

ORGANISER UN EXERCICE DE GESTION DE CRISE CYBER ANSSI - COLLECTION GESTION DE CRISE

 CONTENU STIMULI ÉMETTEUR DESTINATAIRE
MODALITÉ DE COMMENTAIRES À L’ATTENTION
N° HORAIRE PHASE (contenu du mail ou de l’appel téléphonique (non joueur - simulé par (= les joueurs RÉACTIONS ATTENDUES
TRANSMISSION DU PLANIFICATEUR
à adapter à votre organisation) la cellule d’animation) pour action)

[Option
Responsable Mail si
« Publication
communication accessible, Adaptation et diffusion
des données « Bonjour, Service client
AAMMJJ + responsable sinon appel d’éléments de langage
44 exfiltrées »] À la suite de la divulgation sur Internet de données de notre organisation, nous avons été ou en lien
16:35 sûreté + RSSI ou téléphonique ou ou renvoi vers un
contactés par plusieurs clients/usagers inquiets que leurs données aient pu être publiées. » avec des usagers
équivalent / DSI si messagerie de communiqué si rédigé.
Sollicitation
pertinent secours
clients/usagers

[Option « Jeu sur

plusieurs sites
avec plusieurs Mail si
Responsable
cellules de crise accessible,
« Bonjour, Service client ou en lien communication +
AAMMJJ impliquées sinon appel Adaptation et diffusion
45 À la suite de la divulgation sur Internet de données de notre second site, nous avons été avec des usagers du responsable sûreté
16:37 en tant que téléphonique ou d’éléments de langage.
contactés par plusieurs clients/usagers inquiets que leurs données aient pu être publiées. » second site + DSI/RSSI du
joueurs »] messagerie de
second site
secours
Sollicitation
clients/usagers

« Bonjour,
Pour information, de nombreux tweets commentant la divulgation de données de notre
[Option
organisation. Les messages publiés s’interrogent particulièrement sur l’authenticité des Responsable Mail si
« Publication
données et sur la sécurité des données de nos clients, qui continuent à nous contacter.» communication accessible, Vérification de
des données Personne réalisant
AAMMJJ + responsable sinon appel l’intégralité des données,
46 exfiltrées »] une veille médiatique
16:42 Voici quelques exemples de tweets : sûreté + RSSI ou téléphonique ou préparation d’éléments
(salarié ou prestataire)
@organisation n’est déjà pas capable d’éviter de se faire hacker, et maintenant ils n’arrivent équivalent / DSI si messagerie de de langage.
Sollicitation
même pas à gérer les conséquences et sécuriser les données #insecure #ransomware pertinent secours
réseaux sociaux
@organisation les attaquants seraient en possession des données de vos clients. Vous
confirmez ? #organisation_leak #ransomware »

Mail si
accessible,
[Option « Bonjour, Faire un point de
AAMMJJ Responsable sinon appel
47 « Simulation Quels ont été les retours suite à la publication de votre communiqué de presse ? Souhaitez- ANSSI COM situation sur la stratégie
16:45 communication téléphonique ou
ANSSI »] vous publier à nouveau quelque chose ? » de communication.
messagerie de
secours

« Bonjour,
Je vous informe des premiers résultats de la phase d’investigation [option : menées par les
équipes de l’ANSSI / prestataire]. Nous avons pu confirmer les éléments suivants relatifs
à l’incident : un logiciel malveillant a été déposé sur votre SI suite à une campagne de
hameçonnage fructueuse exploitant la vulnérabilité CVE-20xx-xxx affectant le système
d’exploitation Windows xxx. Par ailleurs, le programme malveillant utilise de multiples
Pour permettre aux joueurs d’expérimenter
[Option moyens de latéralisation (exploitation de services légitimes de Microsoft Windows et
plusieurs phases de la crise, le jeu est
« Simulation de codes publiés sur Internet permettant d’exploiter des vulnérabilités connues tels
volontairement accéléré et n’est pas représentatif
ANSSI »] qu’Eternal Blue), [option : ce qui explique que le second site ait également été touché].
de ce qu’il se serait passé dans un cas réel. En
Afin de compléter ces premiers éléments d’analyse et sécuriser votre SI, il est nécessaire
ANSSI Mail si effet, à titre d’illustration, il n’est pas rare que
Stimulus d’expulser l’attaquant du système et de s’assurer qu’il ne puisse pas revenir. [option : Transmission des
ou accessible, le SI soit complètement indisponible durant 1
conclusif pour la Pour cela, il faudrait qu’une équipe de l’ANSSI / un prestataire puisse intervenir au plus informations au second
AAMMJJ membre équipe RSSI ou équivalent / sinon appel à 2 semaines face à ce type d’attaque. De plus,
48 fin de jeu via vite afin de vous accompagner dans cette phase de remédiation.] site. Réflexion sur la
16:50 technique DSI si pertinent téléphonique ou le retour à un fonctionnement nominal du SI
un membre continuité et la reprise
ou messagerie de s’avère souvent long, jusqu’à prendre parfois
simulée de Enfin, l’éditeur vient de publier un correctif pour la vulnérabilité mentionnée ci-dessus des activités.
prestataire secours plusieurs mois.
l’équipe (cf. bulletin d’alerte du CERT-FR en PJ). Il convient de l’appliquer dès que possible.
technique de
Ce stimulus peut également être émis par un
l’organisation ou [A : sauvegardes hors-ligne préservées] Le déploiement des sauvegardes pourra être
prestataire ou un membre simulé de l’équipe
un prestataire réalisé lorsque nous nous serons assurés que les SI sont sains et sécurisés. Des essais
technique de l’organisation.
seront réalisés au préalable. Si ceux-ci sont concluants nous poursuivrons l’opération
sur l’ensemble du parc informatique. Cela devrait prendre au minimum quelques jours.

[B : sauvegardes impactées] Les serveurs de sauvegarde sont HS. Nous allons devoir
procéder à une reconstruction complète du parc informatique, ce qui devrait prendre
une semaine à dix jours.»

« Bonjour à tous,
AAMMJJ Bravo vous avez organisé un exercice de gestion
49 Fin de l’exercice l’exercice est terminé. Nous vous remercions pour votre participation et vous invitons à DIRANIM Tous les joueurs Mail Participation au RETEX.
17:00 de crise cyber !
participer au retour d’expérience à chaud qui aura lieu dans 5 minutes. »

ORGANISER UN EXERCICE DE GESTION DE CRISE CYBER ANSSI - COLLECTION GESTION DE CRISE